Palo Alto เตือนรีบอัปเดต PAN-OS หลังพบการโจมตีช่องโหว่ VPN แล้ว

หลังจากก่อนหน้านี้ Palo Alto Networks ออกมาแจ้งเตือนช่องโหว่ CVE-2026-0257 ในระบบ PAN-OS ล่าสุดสถานการณ์เริ่มน่ากังวลมากขึ้น เมื่อหน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ หรือ CISA ได้เพิ่มช่องโหว่นี้เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) อย่างเป็นทางการ หลังพบว่ากำลังถูกใช้โจมตีจริงแล้วในโลกออนไลน์

ช่องโหว่ “ข้ามการยืนยันตัวตน” เปิดทางแฮกเกอร์เจาะ VPN

ช่องโหว่นี้ส่งผลกระทบต่อทั้งระบบ PAN-OS และ Prisma Access โดยเปิดโอกาสให้ผู้โจมตีจากภายนอกที่ “ไม่ต้องล็อกอิน” สามารถปลอมคุกกี้สำหรับยืนยันตัวตน และเชื่อมต่อเข้าสู่ระบบ VPN ผ่าน GlobalProtect gateway ได้สำเร็จ

แม้คะแนนความรุนแรงตามมาตรฐาน CVSSv4 จะอยู่ในระดับกลาง แต่ทีมวิจัยจาก Rapid7 เตือนให้องค์กรจัดการช่องโหว่นี้ในระดับ “วิกฤต” และรีบอัปเดตทันที

จุดอ่อนอยู่ในฟีเจอร์ Authentication Override

ต้นตอของปัญหาเกิดจากฟีเจอร์ “authentication override” ซึ่งเป็นฟีเจอร์ที่ช่วยให้ผู้ใช้ไม่ต้องล็อกอินซ้ำหลายครั้ง โดยระบบจะสร้าง session cookie สำหรับยืนยันตัวตนไว้ล่วงหน้า

อย่างไรก็ตาม หากใบรับรอง (certificate) ที่ใช้เข้ารหัสคุกกี้นี้ ถูกนำไปใช้ร่วมกับบริการอื่น เช่น HTTPS ของพอร์ทัล ระบบจะเปิดช่องให้ผู้โจมตีดึง public key ออกมา และสร้างคุกกี้ปลอมเพื่อข้ามระบบยืนยันตัวตนได้ทันที

รายงานระบุว่า กระบวนการถอดรหัสภายในไฟล์ /usr/local/bin/gpsvc ไม่มีการตรวจสอบลายเซ็นดิจิทัลของคุกกี้ ทำให้การปลอมแปลงสามารถทำได้ไม่ยาก

เริ่มพบการโจมตีจริงตั้งแต่เดือนพฤษภาคม

Rapid7 ระบุว่า เริ่มพบการโจมตีจริงครั้งแรกตั้งแต่วันที่ 17 พฤษภาคม 2026 โดยผู้โจมตีส่งคำขอ authentication แบบผิดปกติไปยังบัญชีผู้ดูแลระบบในหลายองค์กร

การโจมตีระลอกแรกมาจาก IP ที่โฮสต์อยู่บน Vultr และใช้ชื่อเครื่องปลอมว่า “GP-CLIENT” พร้อมปลอม MAC Address เพื่อหลบเลี่ยงการตรวจจับ

ต่อมาในวันที่ 21 พฤษภาคม มีการโจมตีระลอกที่สองจากผู้ให้บริการ Dromatics Systems โดยใช้ชื่อเครื่อง “DESKTOP-GP01” และบางกรณีสามารถเชื่อมต่อ VPN ได้สำเร็จ จนเข้าถึงเครือข่ายภายในองค์กรได้จริง

นักวิจัยพบว่า ทั้งสองระลอกใช้ MAC Address ปลอมเดียวกัน จึงเชื่อว่าเป็นฝีมือของผู้โจมตีกลุ่มเดียวกัน

องค์กรควรรีบอัปเดตทันที

Palo Alto Networks แนะนำให้องค์กรอัปเดตระบบเป็นเวอร์ชันที่ได้รับการแก้ไขแล้วโดยเร็วที่สุด ซึ่งเวอร์ชันที่ปลอดภัยประกอบด้วย

• PAN-OS 12.1.4-h6
• PAN-OS 12.1.7
• PAN-OS 11.2.12
• PAN-OS 11.1.15
• PAN-OS 10.2.18-h6

ส่วนผู้ใช้งาน Prisma Access ควรอัปเดตเป็น

• เวอร์ชัน 11.2.7-h13 หรือใหม่กว่า
• เวอร์ชัน 10.2.10-h36 หรือใหม่กว่า

วิธีลดความเสี่ยงก่อนถูกเจาะระบบ

ผู้ดูแลระบบควรปิดฟีเจอร์ authentication override ทันที หากไม่มีความจำเป็นต้องใช้งาน

แต่หากองค์กรยังจำเป็นต้องใช้ ควรสร้าง certificate แยกเฉพาะสำหรับเข้ารหัสคุกกี้ และห้ามนำไปใช้ร่วมกับ HTTPS หรือบริการอื่นโดยเด็ดขาด

นอกจากนี้ ทีมความปลอดภัยควรตรวจสอบ log การเชื่อมต่อ VPN และ GlobalProtect เพื่อค้นหาพฤติกรรมผิดปกติ รวมถึงเฝ้าระวังการพยายามล็อกอินด้วย cookie authentication ที่มุ่งเป้าไปยังบัญชีผู้ดูแลระบบภายในองค์กร

ที่มา